Společnost LayerZero po týdnech sporů uznala vlastní podíl na jednom z největších letošních kryptoměnových útoků. Incident už vede k odlivu velkých klientů ke konkurenci.
Společnost LayerZero přiznala, že udělala chybu při zabezpečení vysoce hodnotných převodů kryptoměn. Firma tak změnila dosavadní rétoriku kolem dubnového hackerského útoku na Kelp DAO, při kterém útočníci spojovaní se Severní Koreou získali aktiva v hodnotě 292 milionů dolarů.
LayerZero původně odpovědnost přenášelo především na Kelp DAO a tvrdilo, že problém vznikl kvůli špatnému nastavení bezpečnostních parametrů na úrovni aplikace. Nově ale firma uznala, že sama umožnila rizikovou konfiguraci své ověřovací infrastruktury.
„V první řadě dlužíme omluvu,“ uvedla společnost v novém blogovém příspěvku.
Podle LayerZero byl problém v takzvané konfiguraci „1-of-1“, kdy k potvrzení převodu mezi blockchainy stačila jediná decentralizovaná ověřovací síť označovaná jako DVN (Decentralized Verifier Network). To vytvořilo jediný bod selhání.
„Udělali jsme chybu, když jsme umožnili, aby naše DVN fungovala jako 1/1 verifier pro transakce s vysokou hodnotou,“ uvedla firma. „Nekontrolovali jsme dostatečně, co naše infrastruktura zabezpečuje, a vytvořili jsme riziko, které jsme neviděli. Bereme za to odpovědnost.“
LayerZero zároveň oznámilo změny v bezpečnostní architektuře. Jeho vlastní DVN už nebude možné používat v konfiguraci 1/1 a firma chce postupně přejít na výrazně robustnější modely typu 5/5 nebo minimálně 3/3 tam, kde není k dispozici více ověřovacích sítí.
Cross-chain mosty, které umožňují převody aktiv mezi různými blockchainy, dlouhodobě patří mezi nejrizikovější části kryptoměnového ekosystému. Právě podobné infrastruktury byly v minulých letech cílem řady velkých útoků.
LayerZero ale nadále tvrdí, že samotný základní protokol kompromitován nebyl. Podle firmy útočníci zasáhli interní RPC infrastrukturu používanou její DVN sítí, zatímco externí poskytovatelé RPC služeb současně čelili DDoS útokům.
Společnost zároveň zveřejnila další bezpečnostní incident z minulosti. Jeden z podpisových členů multisig peněženky podle firmy před třemi a půl lety omylem použil firemní hardwarovou peněženku pro osobní obchod místo své soukromé.
„To samozřejmě není v pořádku,“ uvedla společnost.
Dotyčný člen byl z multisig systému odstraněn, firma provedla rotaci peněženek a zpřísnila interní bezpečnostní pravidla. Součástí změn je i vlastní nový multisig systém nazvaný OneSig.
Důsledky útoku už mezitím začínají ovlivňovat byznys LayerZero. Konkurenční firmy využívají situace k přetahování klientů.
Kelp DAO už přesunulo svůj rsETH bridge ke konkurenčnímu řešení Chainlink CCIP. Solv Protocol pak oznámil, že po nové bezpečnostní revizi migruje infrastrukturu tokenizovaného bitcoinu v hodnotě přes 700 milionů dolarů mimo LayerZero.